А.1 Исследование опасности и связанных с ней проблем (HAZOP)
HAZOP является формой анализа видов и последствий отказов (FMEA). Исследования HAZOP первоначально были разработаны для химической промышленности. Это процедура идентификации возможных опасностей по всему объекту в целом. Она особенно полезна при идентификации непредвиденных опасностей, заложенных в объекте вследствие недостатка информации при разработке, или опасностей, проявляющихся в существующих объектах из-за отклонений в процессе их функционирования.
Основными задачами метода являются:
а) составление полного описания объекта или процесса, включая предполагаемые состояния конструкции;
б) систематическая проверка каждой части объекта или процесса с целью обнаружения путей возникновения отклонений от проектного замысла;
в) принятие решения о возможности возникновения опасностей или проблем, связанных с данными отклонениями.
Принципы исследований HAZOP могут применяться по отношению к техническим объектам в процессе их функционирования либо на различных стадиях проектирования. Исследование HAZOP, осуществляемое во время начальной стадии проектирования, может выполнять руководитель проекта.
Наиболее распространенная форма исследования HAZOP осуществляется на стадии рабочего проекта и носит название исследования HAZOP II.
Исследование HAZOP II предусматривает следующие этапы:
Этап 1 - определение целей, задач и области применения исследования, например выделение опасности, характеризующейся только нелокальными последствиями или только локальными последствиями, участков промышленного объекта, подлежащих рассмотрению, и т. д.;
Этап 2 - комплектование группы по исследованию HAZOP. Данная группа должна состоять из проектировщиков и эксплуатационников, обладающих достаточной компетентностью для оценки последствий отклонений от условий функционирования системы;
Этап 3 - сбор необходимой документации, чертежей и описаний технологического процесса. Сюда входят графики последовательности технологических операций; чертежи трубопроводов и измерительного оборудования; технические условия на оборудование, трубопроводы и измерительную аппаратуру; логические диаграммы управления технологическим процессом; проектные схемы; методики эксплуатации и технического обслуживания; методики реагирования на чрезвычайные ситуации и т. д.;
Этап 4 - анализ каждой основной единицы оборудования и всего вспомогательного оборудования, трубопроводов и контрольно-измерительной аппаратуры с использованием документов, собранных на этапе 3. В первую очередь определяется цель проектирования технологического процесса, затем применительно к каждой линии и единице оборудования по отношению к таким переменным процесса, как температура, давление, расход, уровень и химический состав, применяются слова-указатели (по таблице А.1). (Данные слова-указатели стимулируют индивидуальное мышление и побуждают к коллективному обсуждению);
Этап 5 - документальное подтверждение любого отклонения от нормы и соответствующих состояний. Кроме того, осуществляется выявление способов обнаружения и/или предупреждения отклонения. Данное документальное подтверждение обычно указывается на рабочих листах HAZOP. Образец такого рабочего листа слов-указателей «не, нет» по отношению к «расходу» представлен в таблице А.2.
Таблица А.1 - Слова-указатели HAZOP II
Слово-указатель | Определение |
Нет или не | Ни одна из частей предполагаемого результата не достигается (например, нет расхода) |
Больше | Количественное увеличение (например, высокое давление) |
Меньше | Количественное уменьшение (например, низкое давление) |
А также | Качественное увеличение (например, дополнительный материал) |
Часть (чего-то) | Качественное уменьшение (например, только один или два компонента в смеси) |
Обратное | Противоположное (например, противоток) |
Иначе | Ни одна из частей замысла не осуществляется, происходит что-то совершенно другое (например, поток несоответствующего материала) |
Таблица А.2 - Образец рабочего листа слов-указателей «не, нет» HAZOP II
Слово-указатель | Отклонение | Возможные причины | Последствия | Необходимое действие |
Не, нет | Нет расхода | 1) Отсутствие подаваемого материала | Выработка формуемого полимера будет снижена | а) Обеспечить хорошую связь с оператором б) Предусмотреть сигнал низкого уровня на установочном резервуаре |
2) Неисправен насос (множество причин) | Выработка формуемого полимера будет снижена | Предусмотреть сигнал низкого уровня на установочном резервуаре | ||
3) Закупоривание линии или ошибочно закрытый клапан или не закрывается регулирующий клапан | Насос будет перегреваться | Установить линию рециркуляции на каждом насосе |
Исследование HAZOP может выделить отклонения, для которых необходима разработка смягчающих мер. В тех случаях, когда смягчающие меры неочевидны или очень дороги, результаты исследования HAZOP дают возможность идентифицировать инициирующие события, необходимые для дальнейшего анализа риска.
А.2 Анализ видов и последствий отказов (FMEA)
FMEA представляет собой метод, преимущественно качественный, хотя его можно представить ив количественной форме, при помощи которого систематически идентифицируются последствия каждого отдельного компонента аварийных состояний. Это индуктивный метод, который основан на вопросе «что случится, если ... ?». Непременной отличительной чертой в любом FMEA является рассмотрение каждого основного компонента/части системы на предмет того, каким образом он достигает аварийного состояния и как это влияет на аварийное состояние системы. Как правило, анализ является описательным и организуется в форме составления таблицы или рабочего листа, предназначенной для информации.FMEA, безусловно, относится к аварийным состояниям компонента системы, причинным факторам и воздействиям этого состояния на систему в целом и представляет их в удобной форме.
FMEA представляет собой подход по принципу «снизу вверх» и рассматривает последствия аварийных состояний компонента по принципу «одно за один раз». Этот метод способен переработать достаточное количество данных, прежде чем стать затруднительным для реализации. Кроме того, результаты могут быть легко перепроверены другим человеком, знакомым с системой.
Главными недостатками метода являются избыточность, исключение из рассмотрения восстановительно-ремонтных действий и сосредоточение на авариях единственного компонента.
FMEA может распространяться на выполнение того, что называется «Анализом видов отказов, функционирования и критичности (FMЕСА)». При FMЕСА каждый выявленный отказ ранжируется в соответствии с вероятностью его возникновения и серьезностью его последствий.
FMEA и FMЕСА обеспечивают вклад в анализ такого рода, как анализ «дерева неисправностей» (анализ диаграммы всех возможных последствий несрабатывания или аварии системы). Наряду с применением по отношению к компонентам системы FMEA и FMЕСА могут использоваться и по отношению к ошибке человека; они могут использоваться как для идентификации опасности, так и для оценки вероятности (если только в системе имеет место ограниченный уровень избыточности). Более подробно FMEA и FMЕСА представлены в МЭК 60812 [1].
А.3 Анализ диаграммы всех возможных последствий несрабатывания или аварии системы (анализ «дерева неисправностей» (FТА)
FТА представляет собой совокупность приемов качественных или количественных, при помощи которых выявляются методом дедукции, выстраиваются в логическую цепь и представляются в графической форме те условия и факторы, которые могут способствовать определенному нежелательному событию (называемому вершиной событий). Неисправностями или авариями, идентифицируемыми в «дереве», могут быть события, связанные с повреждениями механической конструкции компонента, ошибками персонала или любыми другими событиями, которые влекут за собой нежелательное событие. Начиная с вершины событий выявляются возможные причины или аварийные состояния следующего, более низкого функционального уровня системы. Последующая поэтапная идентификация нежелательного функционирования системы в направлении последовательно снижающихся уровней системы приводит к искомому уровню системы, которым является аварийное состояние компонента. Пример «дерева неисправностей» для аварийного генератора представлен на рисунке А.1. Таблица наиболее распространенных символов «дерева неисправностей» представлена на рисунке А.2.
FTA предоставляет возможность подхода, который является в высокой степени системным, но в то же время достаточно гибким для того, чтобы обеспечить возможность анализа множества факторов, включая взаимодействия людей и физические явления. Применение подхода по принципу «сверху вниз», неявного по своей методике, концентрирует внимание на тех воздействиях неисправности или аварии, которые имеют непосредственное отношение к вершине событий. Это представляет собой определенное преимущество, несмотря на то, что может стать и причиной утраты тех воздействий, которые являются существенно важными где-нибудь еще. FTA особенно полезен для анализа систем с множеством областей контакта и взаимодействий. Графическое представление приводит к тому, что можно без особого труда понять поведение системы и поведение включенных в него факторов, но поскольку размер «деревьев» зачастую велик, обработка «деревьев неисправностей» может потребовать применения компьютерных систем. Эта отличительная черта также затрудняет проверку «дерева неисправностей».
FTA можно использовать для идентификации опасностей, хотя в первую очередь он используется при оценке риска в качестве инструмента для оценки вероятностей или частот неисправностей и аварий. Более детальные подробности, касающиеся FTA, представлены в МЭК 61025 [2].
Рисунок А.1 - Пример «дерева неисправностей»
Символ | Функция | Описание |
Блок описания события | Наименование или описание события, код события и вероятность его появления (по мере необходимости) должны быть включены в рамку символа | |
Базовое событие | Событие, которое не может быть подразделено | |
Переключатель И | Событие происходит только в том случае, если одновременно происходят все составляющие события | |
Переключатель ИЛИ | Событие происходит в том случае, если происходит любое из составляющих событий либо в единственном числе, либо в любом из сочетаний | |
Вход в блок | Событие, определяемое где-нибудь в другом месте «дерева неисправностей» |
Примечание - Символы взяты из МЭК 61025 [2] и использованы на рисунке А.1. (Существуют также альтернативные условные обозначения символов «дерева неисправностей»).
Рисунок А.2 - Символы «дерева неисправностей»
А.4 Анализ диаграммы возможных последствий события (анализ «дерева событий») (ЕТА)
ЕТА представляет собой совокупность приемов количественных или качественных, которые используются для идентификации возможных исходов инициирующего события и, если это требуется, их вероятностей. ЕТА широко используется для объектов, характеризующихся особенностями проекта, которые способствуют снижению аварийности и позволяют выявлять последовательности событий, которые, в свою очередь, приводят к появлению определенных последствий инициирующего события. Предполагается, что каждое событие в последовательности представляет собой либо исправность, либо неисправность. Простое «дерево событий» для взрыва пыли с указанными на нем вероятностями представлено на рисунке А.3. Следует отметить, что вероятности на «дереве событий» являются условными вероятностями. Например, вероятность функционирования разбрызгивателя не является вероятностью, полученной на основании испытаний при нормальных условиях, а является вероятностью функционирования в условиях пожара, вызванного взрывом.
ЕТА представляет собой индуктивный тип анализа, в котором основным задаваемым вопросом является «что случится, если ... ?». Он обеспечивает взаимосвязь между функционированием (или отказом) разнообразных смягчающих систем и опасным событием, следующим после того, как происходит единичное инициирующее событие. ЕТА очень полезен при выявлении событий, которые требуют дальнейшего анализа с использованием FTA (то есть вершины событий «деревьев неисправностей»). Для того, чтобы иметь возможность сделать исчерпывающую оценку риска, требуется идентифицировать все потенциальные инициирующие события. При данном методе, тем не менее, всегда существует вероятность упустить из виду некоторые важные инициирующие события. Более того, в случае «деревьев событий» мы имеем дело только с состояниями успеха и отказа. Возникает трудность с включением запаздывающего успеха или возвратных событий.
Рисунок А.3 - Пример «дерева событий» для взрыва пыли
ЕТА может быть использован как для идентификации опасности, так и для вероятностной оценки последовательности событий, влекущих за собой опасные ситуации.
А.5 Предварительный анализ опасности (РНА)
РНА представляет собой индуктивный метод анализа, задачей которого является идентификация опасностей, опасных ситуаций и событий, которые могут причинить вред данной деятельности, объекту или системе. Чаще всего его принято проводить на ранней стадии разработки проекта, когда мало информации по деталям конструкции и рабочим процедурам, и зачастую он может быть предшественником последующих исследований. Кроме того, он может оказаться полезным в тех случаях, когда анализируются существующие системы или устанавливаются приоритеты опасностей, где обстоятельства препятствуют использованию более обширной совокупности технических приемов.
При проведении РНА вырабатывается перечень опасностей и опасных ситуаций общего характера посредством рассмотрения таких характеристик, как:
а) используемые или производимые материалы и их способность вступать в реакцию;
б) применяемое оборудование;
в) условия окружающей среды;
г) схема расположения;
е) области контакта и взаимодействия между компонентами системы и т. д.
Реализация данного метода завершается определением возможностей аварии, качественной оценкой величины возможного вреда или ущерба здоровью, который мог быть нанесен, и идентификацией возможных исправительных мер. PHAдолжен корректироваться на стадиях проектирования, изготовления и испытания для обнаружения новых опасностей, внесения поправок и его совершенствования. Полученные результаты могут быть представлены различными способами, например в виде таблиц и «деревьев».
А.6 Оценка влияния на надежность человеческого фактора (HRA)
А.6.1 Общие положения
Оценка связана с влиянием человеческого фактора, а именно операторов и обслуживающего персонала, на работу системы и может быть использована для оценки воздействия ошибок персонала на безопасность и производительность.
Многие процессы содержат потенциальные возможности для ошибок персонала, в особенности в тех случаях, когда время, которым располагает оператор для принятия решений, ограничено. Вероятность того, что проблемы будут развиваться негативным образом, зачастую мала. Иногда действия со стороны персонала ограничиваются возможностью предотвращения начальной неисправности, прогрессирующей в направлении аварии.
При помощи HRA идентифицируются разнообразные типы ошибочных действий, которые могут иметь место, в том числе следующие:
а) ошибка по оплошности, недосмотр, выразившийся в невыполнении требуемого действия;
б) ошибка несоответствия, которая может предусматривать:
1) положение, когда требуемое действие выполняется несоответствующим образом;
2) действие, выполняемое слишком большим или слишком малым усилием либо без требуемой точности;
3) действие, выполняемое в неподходящее для него время;
4) действие (или действия), выполняемое в неправильной очередности;
в) лишнее действие, ненужное действие, выполняемое вместо требуемого действия или в дополнение к нему.
В результате HRA выявляются действия, которые могут воссоздать предшествующие ошибки.
Методология HRA является смешанной дисциплиной, в которой заняты исследователи и практики, являющиеся, как правило, специалистами в сферах либо теории и практики надежности, либо психологии и человеческих факторов.
Важность HRA была проиллюстрирована различными авариями, в которых критические ошибки человека способствовали катастрофической последовательности событий. Такого рода аварии являются предостережением от оценок риска, которые концентрируют внимание исключительно на механической конструкции и программных средствах в системе. Они иллюстрируют опасность игнорирования ошибок персонала. Более того, HRA являются полезными при рассмотрении ошибок, снижающих производительность, и при выявлении тех путей, которыми эти ошибки и другие неисправности (механической конструкции и программного обеспечения) могут быть «воспроизведены» людьми, операторами и обслуживающим персоналом.
HRA может включать в себя следующие этапы:
1) анализ задачи;
2) выявление ошибки персонала;
3) количественное определение влияния на надежность человеческого фактора.
Анализ задачи и выявление ошибки персонала необходимо начинать на стадии концепции и на ранних этапах проектирования и разработки. Они должны модернизироваться на более поздних стадиях развития системы.
А.6.2 Анализ задачи (ТА)
Целью ТА в процессе HRA является подробное описание и определение характера задачи, подлежащей анализу, для выявления ошибки персонала и/или количественной оценки влияния на надежность человека. Анализ задачи может также проводиться для других целей, таких как оценка взаимодействия человека с машиной или планирование процедуры.